Dúvidas em relação a atualização de pacotes CentoOS

eduinfo10
(usa Ubuntu)

Enviado em 27/04/2015 - 11:11h

Bom dia Pessoal,

A empresa onde trabalho foi auditada e foram descobertas algumas falhas de segurança.

Possuo um servidor linux CentOS 5.11 rodando a aplicação OPENSSL na versão openssl-0.9.8e-32.el5_11

Esta versão é vulnerável, necessitando ser atualizada.

Se eu dou um #yum update openssl, existe a versão openssl-0.9.8e-33.el5_11 para update, porém conforme o relatório de vulnerabildiades, somente a versão openssl-0.9.8ZE resolve o meu problema.

A minha dúvida é a seguinte, se eu baixar a RPM ou os fontes da versão openssl-0.9.8ZE, ela vai ser compatível ao meu sistema operacional ?

Ou então se eu baixar uma versão ainda mais nova, como por exemplo, openssl-1.0.2, vai funcionar ?

Desde já agradeço.

IZhaq_Melo
(usa FreeBSD)

Enviado em 27/04/2015 - 12:03h

Ola,

achei o seu caso bem interessante,
primeiro que para minha surpresa o CentOS 5.1 tem suporte até 2017;
fonte: https://access.redhat.com/support/policy/updates/errata#Life_Cycle_Dates

embora o Kernel padrão seja 2.6.18; se voce não o atualizou esse será o meu maior problema, muito superior a vulnerabilidades do OpenSSh,
veja o ciclo de suporte de kernel em:
https://kernel.org/
( o kernel 2.6 morreu em 12/2014 )

quanto a sua dúvida em si, encontrei várias soluções, e informações:

aos foruns oficiais centOS 5.1
https://www.centos.org/forums/viewtopic.php?t=16621 ( incompleta )
https://www.centos.org/forums/viewtopic.php?f=19&t=51635 ( parcial e confusa )
( tópicos bem antigos e sem info complementares )

outra forma de fazer o update é:
https://access.redhat.com/solutions/905793
( ele vai como é oficial da Red hat não informa se isso sem aplica o CentOS ou mesmo se o suporte a ele é realizado da mesma forma )


tentei algumas cosias no site oficial:
http://www.openssh.com/faq.html
mas não informa muito.

achei o update manual:
http://www.rpmfind.net/linux/rpm2html/search.php?query=openssl-devel+0.9.8&submit=Search+...&...
( o link não é oficial mas talvez voce possa tentar )

Conclusão: tente fazer o update via chanlog se nao conseguir estude um upgrade de SO, ja que o seu Kernel não tem mais suporte oficial o correto é mudar tudo para que as dependências não quebrem todo o sistema.
O seu problema não é o OpenSSH mas sim o Kernel em si.

removido
(usa Nenhuma)

Enviado em 27/04/2015 - 12:29h

Algumas ferramentas apenas apontam que você está vulnerável por não ter instalado a ultima versão estável. Qual foi a ferramenta utilizada? O Nessus?

Qual foi a vulnerabilidade encontrada? Em que essa vulnerabilidade efetivamente te afeta? Recomendo verificar o release notes das ultimas atualizações disponíveis para sua versão. Provavelmente ela resolve a maioria dos seus problemas, isso se realmente houver um problema de fato.

removido
(usa Nenhuma)

Enviado em 27/04/2015 - 15:41h

+1

O CentOS aplicará todas as atualizações de segurança disponibilizadas pela Red Hat enquanto o tempo de suporte da referida versão. Como o CentOS 5 ainda em seu período de suporte, você deve ter todas as atualizações disponíveis, bastando para isto manter o sistema atualizado:
O Mesmo se aplica ao kernel, pois a Red Hat suportará esta versão durante o ciclo de vida da distribuição.

Possivelmente sua aplicação de auditoria faz referencia ao numero do CVE, então compare o CVE disponibilizado com os da atualização no site da Hedhat:
Pesquise o CVE:
http://web.nvd.nist.gov/view/vuln/search?execution=e2s1

Busque se ele afeta o Red Hat (De quebra o CentOS) e se já foi solucionado:
https://access.redhat.com/security/cve/
*Pode ter que voltar para anos anteriores ao atual na pesquisa,e possivelmente a versão de correção existente no nvd.nist sera diferente da encontrada no site da Red Hat (Eles "backportam" as correções para as versões suportadas). O importante aqui é saber que existe uma atualização de segurança para a falha relatada (Caso a falha afete seu sistema, algumas são especificas a alguns ambientes ou compilações, não afetando todas as distribuições e/ou compilações de um software).


------------------------------------------------------
¿? -> keyboard Error: No Keyboard Present, PRESS F1 to continue.

eduinfo10
(usa Ubuntu)

Enviado em 27/04/2015 - 16:04h

Pessoal,

Me ajudaram muito.

Realmente depois de pesquisar bastante, ví que a redhat "backporta" as atualizações para o openSSL 0.9.8, sendo assim, a versão .33 (lançada em 14/04/15) para o Centos 5.11 cobre a CVE.

Muito obrigado a todos !

IZhaq_Melo
(usa FreeBSD)

Enviado em 27/04/2015 - 17:01h

disponha!